Canvas-angrebet var tredje kompromittering på otte måneder
Den 7. maj blev brugere af Canvas mødt af et afpresningsbudskab fra cyberkriminalgruppen ShinyHunters direkte på platformens login‑side. Hændelsen førte til, at Instructure, som ejer Canvas, lukkede platformen midlertidigt. Ifølge Krebs on Security skete dette få dage efter, at Instructure offentligt havde erklæret et tidligere databrud for inddæmmet.
Sikkerhedsfirmaet Cloudskope vurderer, at hændelsen den 7. maj repræsenterer mindst tredje gang siden efteråret 2025, at ShinyHunters har haft adgang til Instructures miljø. Vurderingen fremføres af Cloudskope‑direktør Dipan Mann og refereres af Brian Krebs i hans blog Krebs on Security.
Gentagne hændelser siden september 2025
Ifølge oplysningerne kan den første hændelse spores tilbage til september 2025, hvor ShinyHunters offentliggjorde interne dokumenter fra University of Pennsylvania. Selvom universitetet dengang blev betragtet som den primære berørte part, peger Cloudskope på, at adgangen skete via Canvas.
Den anden hændelse fandt ifølge samme kilde sted omkring 1. maj 2026. Her demonstrerede ShinyHunters igen adgang til Instructures systemer. Dagen efter udtalte Instructures CISO, at hændelsen var under kontrol. Få dage senere fulgte den tredje hændelse, hvor angriberne offentligt viste deres adgang ved at deface Canvas’ login‑side.
Cloudskope beskriver forløbet som en planlagt eskalation frem for tre uafhængige angreb.
Afpresning rettet mod kunderne
I afpresningsbudskabet opfordrede ShinyHunters de enkelte uddannelsesinstitutioner til selv at forhandle betaling for at undgå offentliggørelse af deres data – uanset om Instructure som leverandør valgte at betale.
Ifølge Krebs on Security har kilder med indsigt i sagen oplyst, at flere universiteter allerede har været i kontakt med ShinyHunters. Samtidig blev Instructure fjernet fra gruppens offentlige læk‑site, og tidligere offentliggjorte dataprøver blev taget ned, hvilket typisk forbindes med betaling eller igangværende forhandlinger.
Instructure har ikke bekræftet, om der er betalt løsesum.
Kendt adgangsvej og lukning af konti
I en opdatering den 8. maj oplyste Instructure, at angriberne havde udnyttet et forhold knyttet til såkaldte Free‑for‑Teacher‑konti. Ifølge virksomheden var det samme forhold blevet udnyttet både ved det tidligere databrud og ved hændelsen den 7. maj.
Som konsekvens har Instructure midlertidigt lukket denne kontotype.
Ifølge Krebs on Security indgår Canvas‑sagen i en bredere bølge af samtidige afpresningskampagner fra ShinyHunters. Gruppen har for nylig taget ansvar for angreb mod en række større organisationer og er kendt for at kombinere datatyveri med offentlig eksponering for at øge presset på både leverandører og kunder.
Med vurderingen af tre kompromitteringer på otte måneder rejser sagen ifølge Cloudskope spørgsmål om, hvorvidt Instructures tidligere hændelser er blevet behandlet som enkeltstående episoder frem for tegn på et vedvarende adgangsproblem.